INFORMATION, COMMUNICATION & ENTERTAINMENT Gerenciamento de Ativos de Software KPMG NO BRASIL ÍNDICE Pesquisa da KPMG sobre Maturidade SAM.............................5 Modelo de Otimização SAM e Conclusão sobre o Desempenho das Organizações.............................................15 Benchmark Pesquisa KPMG EUA 2008..................................28 Como a KPMG Pode Ajudar....................................................31 Sumário Executivo O Gerenciamento de Ativos de Software - Software Asset Management (SAM) é uma prática desenvolvida para reduzir custos de Tecnologia da Informação (TI), limitar riscos relacionados à propriedade e ao uso de software e aumentar a eficiência da TI e de usuários finais. O SAM é definido pela ITIL1 como “toda a infraestrutura e processos necessários para o gerenciamento, controle e proteção efetiva dos ativos de software de uma organização, em todos os estágios de seus ciclos de vida”2 SAM é um ponto crítico no gerenciamento de um ambiente de TI, uma vez que a eficácia é seriamente comprometida quando a organização não tem conhecimento de quais ativos de software possui, onde estão localizados, como foram configurados e como eles são utilizados e por quem. A implantação de diversos processos de TI – tal como configuração, distribuição e gerenciamento de mudança – depende de a organização possuir conhecimento preciso de seus ativos de TI. O ritmo acelerado das inovações tecnológicas continuará a apresentar novos desafios no processo de gerenciamento eficaz de softwares. Dois exemplos atuais desses desafios são a virtualização e o código aberto. A virtualização acrescenta novos desafios aos tantos já conhecidos no processo de obter SAM, apresentando um grau de separação entre software e hardware e introduzindo configurações para mudanças dinâmicas, que são indiscutivelmente mais difíceis de rastrear e gerenciar do ponto de vista de compliance em licenças. Outro exemplo é o software de código aberto, que cria novos desafios ao gerenciamento eficaz de ativos de software. A respeito do código aberto, organizações podem não possuir os ingredienteschave para atingir o gerenciamento eficaz de software – especificamente, a necessidade de estar de acordo com as licenças de direito de software. Tais organizações podem operar sob a suposição incorreta de que licenças livres não precisam ser gerenciadas. Na verdade, enquanto softwares open-source possuem implicações de compliance do ponto de vista de manutenção e suporte, um gerenciamento eficaz de softwares também torna-se crítico por razões operacionais de TI. 1 ITIL ©- Information Technology Infrastructure Library é uma estrutura amplamente aceita de governança de TI, publicada pelo Office of Government Commerce do Reino Unido. ITIL é uma marca registrada do Governo do Reino Unido. 2 ITIL Software Asset Management 4| GERENCIAMENTO DE ATIVOS DE SOFTWARE A conformidade em licenças, no entanto, é um aspecto importante de SAM. Uma estratégia madura de gerenciamento de software pode possibilitar às organizações o ganho de benefícios relacionados ao gerenciamento de licenças, um crescente custo orçamentário de TI. O entendimento correto dos direitos de licença e implantação permite que as empresas negociem com vendedores de software com certo conhecimento evitando, muitas vezes, a aquisição de softwares desnecessários. Em 2007, a KPMG International conduziu um levantamento3 entre organizações de software para identificar o quanto de receita elas estariam perdendo em decorrência de fiscalização ineficiente das licenças de software. Um dos pontos mais relevantes desse levantamento é que as organizações possuem incentivos significativos, a fim de determinar se elas estão em compliance com seus contratos de licença de software. O desenvolvimento desnecessário de softwares pode custar milhões de dólares em despesas não planejadas. 3 Is Unlicensed Software Usage Hurting Your Bottom Line? KPMG LLP (U.S.), Setembro 2007. Pesquisa da KPMG sobre a Maturidade SAM Os resultados da pesquisa conduzida pela KPMG no Brasil em 2010 indicam que a maior parte das organizações ainda precisa desenvolver a maturidade SAM. Em razão da importância do SAM como competência central de TI, nosso estudo indica que grande parte das organizações está tendo dificuldades em gerenciar seus ambientes de TI de forma eficiente e eficaz. Observações Deficiência de maturidade SAM de uma forma geral: 50% das organizações avaliadas não possuem informações completas e precisas sobre implantação e direitos de licença de software. Essas organizações podem não estar protegidas dos riscos de compliance e podem ter uma habilidade limitada no que diz respeito ao gerenciamento eficaz de seus ambientes de TI. Identificamos que 34% dos avaliados afirmaram ter controle limitado sobre seus ativos de software e não possuem procedimentos ou ferramentas do SAM. Os outros 16% afirmaram que possuem alguns tipos de procedimentos e ferramentas SAM, mas as informações derivadas de tais processos podem não ser confiáveis e, geralmente, não fazem parte do processo de decisão. Organizações maiores têm uma tendência a serem mais maduras, de uma forma geral, quando comparadas a organizações menores. Este resultado não surpreende pelo fato de organizações maiores serem passíveis de possuir ambientes de TI mais desenvolvidos. Alguns setores de atividade são mais maduros que outros. Entre os setores mais maduros estão o automotivo, o aeroespacial, o de mineração, o de produtos manufaturados, o de serviços financeiros e as instituições de ensino. 6| GERENCIAMENTO DE ATIVOS DE SOFTWARE Demografia e Metodologia de Pesquisa Demografia A KPMG no Brasil conduziu uma pesquisa com 95 organizações durante os meses de fevereiro e março de 2010, tendo como públicos-alvo, os CEO's, CIO's, CFO's e os níveis de média gerência das áreas Financeira, de Operações e de TI, todos com envolvimento direto e/ou indireto com o tema SAM. Dados dos Avaliados Número de Empregados 10% 31% 19% Até 100 De 100 a 500 De 500 a 1.000 De 1.000 a 5.000 10% Acima de 5.000 30% Fonte: KPMG no Brasil, 2010. Setores de Atividade dos Avaliados Agricultura, silvicultura ou pesca Automotivo e aeroespacial (somente produção) Bancário Bens duráveis (linha de produção) Construção Educação Engenharia e Serviços Gerenciais Mercado Varejista Mineração Outros serviços Produtos manufaturados (associados com fórmulas ou receitas) Produtos ou serviços tecnológicos Serviços de Utilidade Pública Serviços Financeiros Telecomunicações Teledifusão e outras comunicações Transportes |7 Metodologia O modelo é apresentado nos padrões ISO/IEC SAM 19770-14 e baseia-se no modelo de Otimização da Infraestrutura (IO)5. A fim de atingir cada nível de IO, é necessário existir um nível correspondente de otimização de SAM como apoio. Em suma, é de grande importância que as organizações saibam quais ativos de TI (software e hardware) elas possuem e onde eles existem. Sem tal conhecimento, uma organização fica impossibilitada de direcionar desafios como otimização, consolidação de servidor, virtualização, segurança da informação, continuidade do negócio e gerenciamento de configuração. Os níveis de maturidade do SAM correspondentes, que permitem a maturidade geral de IO, estão discriminados no gráfico a seguir: Modelo de Otimização de SAM SAM Básico SAM Padronizado SAM Racionalizado SAM Dinâmico Ad hoc Rastreamento de Ativos Gerenciamento de Ativos Otimizado Pouco controle sobre quais ativos de TI estão sendo utilizados e onde. Carência de políticas, procedimentos, recursos e ferramentas. Os processos de SAM existem, assim como dados/ ferramentas. A informação pode não ser completa ou precisa e, normalmente, não é utilizada no processo de tomada de decisão. Visão, políticas, procedimentos e ferramentas são utilizados para gerenciar o ciclo de vida dos ativos a fim de atingir os objetivos do negócio. Alinhamento quase que em tempo real com as necessidades dos negócios. SAM é uma competência estratégica e organizacional que possibilita o alcance das metas do negócio. Fonte: Microsoft Corporation A pesquisa foi fundamentada em dez questões, que compõem o modelo de otimização SAM, e foi projetada para mensurar o nível geral de maturidade SAM em organizações. A KPMG desenvolveu questões contextuais adicionais, a fim de avaliar áreas específicas relacionadas ou afetadas por atividades de SAM. 4 International Organization for Standardization/ International Electrotechnical Commission (ISO/IEC) 19770-1 foi lançado em 2006 e estabelece uma base para uma série integrada de processos para o gerenciamento de softwares ativos. 5 The Infrastructure Optimization (IO) Model, © Microsoft Corporation. 8| GERENCIAMENTO DE ATIVOS DE SOFTWARE A KPMG aplica um valor para cada questão para então totalizar os pontos e, tendo por base seus resultados, classifica cada organização em um dos quatro níveis de otimização. Neste relatório, tais níveis são referidos como Básico, Padronizado, Racionalizado e Dinâmico. Básico: Organizações que possuem pouco controle sobre quais ativos de software estão sendo usados e onde. Além disso, não possuem políticas, procedimentos, recursos ou ferramentas. Padronizado: Processos de SAM existem, tal como o repositório de dados/ferramentas, mas as informações podem não ser completas ou apuradas e, normalmente, não são usadas para o processo decisório. Racionalizado: Organizações que usam visões, políticas, procedimentos e ferramentas para gerenciar o ciclo de vida dos ativos de software. Informações precisas são usadas para gerenciar os ativos de software de acordo com os objetivos do negócio. Dinâmico: Organizações que possuem um alinhamento quase em tempo real com as inconstantes necessidades dos negócios. SAM é uma competência estratégica e organizacional que possibilita o alcance das metas do negócio. Resultados da Pesquisa Carência de Maturidade SAM Os resultados da pesquisa revelam que 84% dos avaliados estão no nível Básico ou Padronizado, o que implica que tais organizações não possuem informações precisas para gerenciar, de forma efetiva, o ambiente de TI. Organizações dos níveis Básico ou Padronizado necessitam implementar práticas de negócio que garantam que seus ativos de software sejam proativamente gerenciados e que seus empreendimentos estejam protegidos de riscos no que diz respeito à conformidade de licenças. Nível de Maturidade das Empresas Participantes 15% 50% dos avaliados foram classificados no nível Básico; 34%, no nível Padronizado; 15% no nível Racionalizado; e 1%, no nível Dinâmico. 1% 50% Básico Padronizado Racionalizado Dinâmico 34% Fonte: KPMG no Brasil, 2010. |9 As seguintes observações, previamente discutidas, estão relacionadas aos resultados da maturidade organizacional agregada: SAM é um alvo em movimento. Com base na experiência da KPMG, um programa de SAM eficaz deve incluir uma função de monitoramento contínuo do gerenciamento dos ativos de software – saber “o que você possui e onde está” não é um exercício estático e temporário. Na verdade, a velocidade com que as mudanças de TI ocorrem, torna ainda mais necessária a capacidade de obter esta informação de forma quase instantânea, a fim de obter dados precisos sobre o rastreamento de software. Organizações adquirem software através de diferentes modelos de aquisição e acordos corporativos. Os mais comuns entre estes são o licenciamento por volume e os acordos empresariais. Na verdade, as organizações avaliadas no nível Dinâmico, afirmam que adquirem software de uma dessas duas formas. Software como Serviço - Software as a Service (SaaS) e modelos utilitários estão tornando-se cada vez mais significativos. Das organizações avaliadas no nível Dinâmico, grande parte afirmou que está usando o SaaS ou modelos utilitários (pagos de acordo com o uso) para adquirir software. Este é um indicativo de outra mudança de paradigma em TI. Um número crescente de empresas de software está disponibilizando seus produtos através do SaaS ou de modelos utilitários. A possibilidade de encontrar um programa oferecido na Internet em um ambiente host tem crescido rapidamente, incluindo softwares de produtividade empresarial, reengenharia ou mesmo elaborados aplicativos de planejamento de recursos. 10 | GERENCIAMENTO DE ATIVOS DE SOFTWARE Nivel de Maturidade X Tipos de Contratos de Licença de Software Fonte: KPMG no Brasil, 2010. 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Não sei Compra de várias fontes ad hoc Compras de pacotes menores/simples através de um canal regular Licenciamento por volume/ contratos com grandes empresas Dinâmico, compra em tempo real, Software as a Service (SaaS)/modelo utilitário Básico Padronizado Racionalizado Dinâmico Direito de Licença de Software: Será que conseguiremos acertar? “O que possuímos?” é uma pergunta constante na mente dos CIO's. As complexidades acerca de licenças de software, de acordos de multas contratuais, da discordância entre vendedores e compradores de software, de fusões e aquisições, tanto em compradores quanto em vendedores de software, e das mudanças tecnológicas, contribuem para o surgimento de dúvidas a respeito do direito de licença de software. Uma vez que tais direitos de licença são conhecidos e podem ser confrontados com a real implantação de software, o déficit de licenças pode ser identificado e gerenciado. A posição atual do licenciamento pode também revelar licenças não utilizadas ou “na prateleira”, que podem ser reutilizadas em ambiente de TI ou mesmo descontinuadas do ponto de vista da cobertura de manutenção. Métodos Utilizados para Rastreamento de Direitos de Software Mais da metade dos avaliados (58%) não realizou o rastreamento de direitos de software ou o faz através de procedimentos manuais. Apenas 19% dos avaliados afirmam que gerenciam os direitos de software de forma integrada com seus fornecedores e quase que em tempo real. 19% 10% Nós não rastreamos os direitos de forma centralizada Procedimentos manuais Nós utilizamos uma solução adquirida de terceiros Solução integrada/em tempo real usada para gerenciar os ativos de software 23% 48% Fonte: KPMG no Brasil, 2010. | 11 Maior Nível de Maturidade entre Empresas de Grande Porte O resultado da pesquisa sugere que empresas de grande porte tendem a ter mais maturidade em comparação com organizações menores. Este resultado já era esperado, uma vez que empresas de grande porte normalmente possuem processos de TI mais desenvolvidos, em decorrência, de forma geral, do gerenciamento em escala de suas operações, dos maiores requisitos regulatórios e da disponibilidade de recursos. Por outro lado, organizações menores podem não possuir os meios necessários para investir dessa forma em TI, principalmente no que diz respeito à mão de obra, aos processos e à tecnologia, uma vez que, tipicamente, estas possuem menos pessoas tentando fazer mais coisas. Nível de Maturidade X Número de Empregados Fonte: KPMG no Brasil, 2010. 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Dinâmico Racionalizado Padronizado Básico <100 100 - 500 500 - 1.000 1.000 - 5.000 >5.000 Número de empregados Vendedores de software estão mais propensos a auditar seus maiores clientes, aqueles com maiores gastos e ambientes de TI mais complexos, como parte de seus programas de compliance de licenças. Esta pode ser uma das várias explicações sobre o porquê de organizações maiores aparentarem ser mais proativas em reduzir os riscos de compliance em licenças de software e tornar o gerenciamento de software uma prioridade. 12 | GERENCIAMENTO DE ATIVOS DE SOFTWARE O SAM está tornando-se uma Prioridade para muitas Organizações Nos últimos anos, a KPMG tem observado que o SAM está tornando-se uma prioridade mais elevada para empresas de grande porte, as quais, de forma rotineira, gastam milhões de dólares em aquisições de software de uma grande diversidade de vendedores. Concomitantemente, temos observado vendedores de software investindo em formas de ajudar seus clientes a entender as melhores práticas de SAM. Como prioridade organizacional, 9% dos avaliados afirmaram que o SAM está entre uma das cinco maiores prioridades, 21% consideram o SAM entre uma das dez maiores prioridades enquanto 6% afirmam que não é uma prioridade. 3% 6% 9% 9% 21% Uma das cinco maiores prioridades para este ano Uma das dez maiores prioridades para este ano Importante, mas a organização possui outras prioridades Não é uma prioridade agora Minha própria iniciativa em gerenciar/ a organização não pensa a respeito disso Não sei 52% Fonte: KPMG no Brasil, 2010. | 13 Observações sobre os Setores Considerando o SAM entre os setores de atividade, observamos que certos setores possuem mais maturidade que outros. Os setores mais maduros incluem o automotivo, o aeroespacial, o de mineração, o de produtos manufaturados, o de serviços financeiros e as instituições de ensino, como detalhado nos gráficos e comentários a seguir: Maturidade na Indústria Automotiva e Aeroespacial x Resultado Geral 67% 70% Fonte: KPMG no Brasil, 2010. 60% 50% Observações As indústrias automotiva e aeroespacial 50% 40% possuem o maior número de organizações avaliadas nos níveis Básico e Racionalizado. 33% 34% 30% 20% Diversas organizações nos setores 15% 10% 1% 0% 0% 0% Básico Padronizado Racionalizado Dinâmico Nível de Maturidade Resultado Geral automotivo e aeroespacial já implementaram o modelo ITIL de gerenciamento de processos e, como resultado, suas habilidades em gerenciar seus ambientes de TI aparentam ser mais maduras. Automotiva e Aeroespacial Maturidade no Setor de Instituições de Ensino X Resultado Geral Fonte: KPMG no Brasil, 2010. 67% 70% Observações 60% 50% 50% 40% Dentro da classificação do nível 34% 30% 17% 20% 10% 15% 17% 0% 0% Básico Padronizado Racionalizado Nível de Maturidade Resultado Geral Instituições de Ensino 1% Dinâmico Dinâmico, identificamos uma instituição de ensino. Aparentemente, esta organização tem feito significativos investimentos em SAM, a fim de obter melhorias no processo de gerenciamento de riscos através do melhor controle de seus ativos. 14 | GERENCIAMENTO DE ATIVOS DE SOFTWARE Maturidade no Setor de Mineração X Resultado Geral 67% 70% Fonte: KPMG no Brasil, 2010. Observações 60% 50% O setor de mineração apresentou um 50% 40% 34% elevado número de organizações classificadas no nível Padronizado. 33% 30% Organizações do setor de mineração 20% 15% 10% 1% 0% 0% 0% Básico Padronizado Racionalizado Dinâmico Nível de Maturidade Resultado Geral aparentam uma maturidade acima da média geral. Isso pode ocorrer em razão da complexidade e da individualidade de seus processos, o que exige um gerenciamento eficaz de seu ambiente de TI. Mineração Maturidade no Setor de Produtos Manufaturados x Resultado Geral Fonte: KPMG no Brasil, 2010. 60% 50% 50% 53% Observações 47% O setor de produtos manufaturados 40% é outro exemplo de organizações que demonstram maturidade acima da média geral. 34% 30% 20% 15% 10% 0% 0% Básico Padronizado Racionalizado 1% 0% Dinâmico Nível de Maturidade Resultado Geral Produtos Manufaturados Maturidade em Serviços Financeiros x Resultado Geral Fonte: KPMG no Brasil, 2010. 60% 50% Instituições financeiras aparentam 40% 30% Observações 50% 50% 34% possuir uma maturidade acima da média geral, o que pode ocorrer em razão da natureza e do negócio e das exigências regulatórias inerentes ao setor. 25% 25% 20% 15% 10% 1% 0% 0% Básico Padronizado Racionalizado Nível de Maturidade Resultado Geral Serviços Financeiros Dinâmico | 15 Modelo de Otimização SAM e Conclusão sobre o Desempenho das Organizações A pesquisa foi fundamentada nas seguintes questões (parte do modelo de otimização do SAM), projetadas com a finalidade de mensurar o nível geral de maturidade do SAM em organizações. software incluídos software software software software software software software C’ Fonte: Microsoft Corporation A respeito de cada uma das competências-chave, o modelo de otimização do SAM identifica diferentes expectativas para cada um dos quatro níveis - Básico, Padronizado, Racionalizado e Dinâmico. 16 | GERENCIAMENTO DE ATIVOS DE SOFTWARE Desempenho e Competências Individuais Comparados ao Resultado Geral O levantamento da KPMG revelou que, ao compararmos o nível de maturidade geral, no qual a maior parte das organizações classifica-se no nível Básico, com as dez competências essenciais ao SAM, é interessante notar que grande parte das empresas assume uma postura referente ao nível Dinâmico. 1. SAM em toda a organização De que forma o gerenciamento de ativos de software (com procedimentos documentados, funções, responsabilidades e patrocínio executivo) foi implantado em cada grupo de infraestrutura? Observações Primeira Competência em Comparação com o Resultado Geral: Geralmente, empresas que possuem algum nível de SAM iniciaram com esta primeira competência, através da atribuição de funções e responsabilidades de SAM para toda a organização. Avaliados Competência 1 x Resultado Geral Fonte: KPMG no Brasil, 2010. 80% 70% 60% 50% 40% 30% 20% 10% 0% Resultado Geral Básico Padronizado Racionalizado Dinâmico Existência de SAM Estrutura Organizacional Nível de Maturidade Políticas e Procedimentos de SAM bem Documentados: Documentação é um fator crítico para um programa de SAM efetivo. Organizações que recentemente documentaram seus processos de negócio como um primeiro passo para o estabelecimento de controles no reporte de informações financeiras, para fins de Sarbanes-Oxley Act, entendem a necessidade de documentar formalmente processos de SAM, a fim de implantar, de forma satisfatória, um programa de SAM. Nossa pesquisa indica que 19% das organizações classificadas no nível Básico, 34% no nível Padronizado e 86% no nível Racionalizado possuem documentação formal dos processos SAM. | 17 Mais de 40% dos entrevistados afirmam que existe algum tipo de documentação ou checklist destinado especificamente a ativos de software, e 12% reportam a ausência de qualquer documentação de SAM. Tendo por base a experiência da KPMG, apenas programas de SAM que são adotados e formalmente patrocinados pela alta administração são efetivamente eficazes. Um crescente número de executivos está tomando as medidas necessárias a fim de estender seus patrocínios a programas de SAM. Nível de Maturidade x Nível de Processo de Documentação de SAM na Organização Fonte: KPMG no Brasil, 2010. 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Não sei Não há documentação Há algum grau de documentação, como um checklist Existe uma documentação formal Básico Padronizado Racionalizado Dinâmico Número de Funcionários Designados ao SAM: Um dos pré- requisitos para um programa de SAM é o número de pessoas destinadas a esse propósito. O levantamento da KPMG revela que 33% das organizações não possuem sequer um funcionário designado especificamente para lidar com as responsabilidades de SAM, enquanto 17% dos avaliados afirmaram que possuem apenas um funcionário designado a alguma função de SAM. No entanto, 41% das organizações afirmaram que possuem diversos indivíduos envolvidos em seus programas de SAM, demonstrando um maior grau de compromisso com a gestão dos ativos de software. Número de Pessoas Designadas ao SAM 9% 41% Sim, time próprio na organização Sim, uma única pessoa na organização 33% Não Não sei 17% Fonte: KPMG no Brasil, 2010. 18 | GERENCIAMENTO DE ATIVOS DE SOFTWARE 2. Plano de autoaperfeiçoamento de SAM Sua organização possui um plano de autoaperfeiçoamento de SAM aprovado? Observações Segunda Competência em Comparação com o Resultado Geral: Organizações dos níveis Básico, Racionalizado e Dinâmico apresentaram resultados coerentes, a respeito de seus planos de aperfeiçoamento de SAM, com seus níveis de maturidade. No entanto, possuir um plano de aperfeiçoamento de SAM não parece ser uma prioridade para empresas classificadas no nível Padronizado. Organizações que possuem maturidade acumulada suficiente para estarem nesse nível, podem beneficiar-se através do desenvolvimento de uma estratégia formal e de um plano de aperfeiçoamento de SAM. Avaliados Competência 2 x Resultado Geral Fonte: KPMG no Brasil, 2010. 60% 50% 40% 30% 20% 10% 0% Resultado Geral Existência de Plano de aperfeiçoamento de SAM Básico Padronizado Racionalizado Dinâmico Nível de Maturidade 3. Inventário de hardware e software Qual a porcentagem aproximada de usuários de PC e servidores que estão incluídos no inventário centralizado de software/CMDB? Observações Terceira Competência em Comparação com o Resultado Geral: O resultado do levantamento da KPMG indica que 56% das empresas realizam inventário na integralidade de seus ativos de software. Avaliados Competência 3 x Resultado Geral Fonte: KPMG no Brasil, 2010. 60% 50% 40% 30% 20% 10% 0% Resultado Geral Integralidade de hardware e software Básico Padronizado Racionalizado Nível de Maturidade Dinâmico | 19 4. Precisão do Inventário Com que frequência ocorre reconciliação entre os inventários de software e outras fontes (por exemplo, contagem de usuários com base nos registros funcionais do RH) a fim de verificar a precisão dos números de licenças adquiridas? Observações Quarta Competência em Comparação com o Resultado Geral: A precisão do inventário é um bom indicador da maturidade geral. Essa competência parece ser um pouco mais difícil de ser atingida, uma vez que apenas 25% dos avaliados estão no nível Dinâmico quando considerada a precisão do inventário, comparando-se com 56% quando considerada a integralidade. Isso indica que a maior parte das organizações acredita que realiza inventários na integralidade dos ativos, em vez de inventários precisos. Organizações que afirmaram que seus inventários são realizados integralmente devem também verificar se estes refletem a realidade. Avaliados Competência 4 x Resultado Geral Fonte: KPMG no Brasil, 2010. 60% 50% 40% 30% 20% 10% 0% Resultado Geral Básico Padronizado Racionalizado Dinâmico Precisão do inventário de hardware e software Nível de Maturidade Ferramentas SAM: É interessante notar que 100% das organizações que se enquadram no nível Dinâmico utilizam soluções de software criadas internamente como principal meio de rastrear, identificar e gerenciar a instalação de softwares em ambientes de PC's e servidores. Em contraste, cerca de 20% das organizações avaliadas no nível Básico utilizam-se de métodos manuais como principal forma de rastreamento e gerenciamento de software. Um total de 58% das organizações avaliadas afirmaram que estão utilizando soluções adquiridas de terceiros ou criadas internamente como principal método de gerenciar ativos de software. Tal número sugere que as organizações estão mais conscientes das vantagens que envolvem as diversas ferramentas de SAM disponíveis no mercado, destinadas ao gerenciamento adequado de software e redução de custos inerentes a tal processo. 20 | GERENCIAMENTO DE ATIVOS DE SOFTWARE Os 42% restantes fazem uso de métodos manuais ou semimanuais no gerenciamento de seus ativos de software. Portanto, tais organizações podem não ter as habilidades necessárias para tomar as melhores decisões de gestão, que visariam a obter o máximo de seus softwares, além de ganhos de eficiência no ciclo de vida, desde a compra até o descarte e a inutilização destes. Nível de Maturidade X Método de Rastrear e Gerenciar Software Fonte: KPMG no Brasil, 2010. 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Não sei Nós identificamos manualmente os softwares de cada usuário de PC Nós utilizamos ferramentas freeware Nós utilizamos um Software criado internamente Nós utilizamos scripts Nós utilizamos uma solução adquirida de terceiros Rastreamento de tudo que é implantado através de uma imagem-padrão Básico Padronizado Racionalizado Dinâmico 5. Registros de Aquisição de Licenças Qual o porcentual de licenças de software obtidas que é registrado em um inventário de direitos de licença (um repositório central/rastreamento de licenças)? Observações Quinta Competência em Comparação com o Resultado Geral: Algumas organizações podem possuir registros de direito de licença mais completos do que o previsto porque o inventário de direitos de licença é gerenciado como um processo separado (por exemplo, através de aquisições), mesmo que processos operacionais de TI não estejam implantados de forma mais madura. Aproximadamente 20% das organizações encontram-se no nível Básico, o que significa dizer que estas estão realizando o inventário de licenças de software de forma substancialmente incompleta. Tais companhias provavelmente teriam dificuldades em reconciliar, de forma efetiva, os direitos de licença que possuem com o que está implantado, a fim de mitigar o risco de pagar um preço irreal pelos softwares que estão utilizando. | 21 Competência 5 x Resultado Geral Avaliados Fonte: KPMG no Brasil, 2010. 60% 50% 40% 30% 20% 10% 0% Resultado Geral Básico Padronizado Racionalizado Dinâmico Nível de Maturidade Integridade e Precisão dos Registros de Direitos de Licença 6. Autoavaliação Periódica Com que frequência você reconcilia a implantação de software (uso) com os direitos de software (compra)? Direitos de software são licenças de software da própria organização ou adquiridas anteriormente por esta. Observações Sexta Competência em Comparação com o Resultado Geral: De uma forma geral, esta competência descreve bem a tendência geral e mostra-se consistente com as tendências observadas a respeito da precisão e da integralidade de inventários de hardware, software e direitos de licença. Conforme esperado, as organizações que coletam e mantêm registros de seus inventários geralmente realizam a reconciliação periódica de tais registros. Competência 6 x Resultado Geral Avaliados Fonte: KPMG no Brasil, 2010. 60% 50% 40% 30% 20% 10% 0% Resultado Geral Básico Padronizado Racionalizado Nível de Maturidade Dinâmico Existência de Relatório e Autoavaliação Periódicos 22 | GERENCIAMENTO DE ATIVOS DE SOFTWARE 7. Registros de Gerenciamento de Operações e Interfaces De que forma as diversas funções das gerências de operações (contratos, ativos físicos, serviços de apoio, segurança, redes) usam os inventários de software e hardware em suas rotinas diárias? Observações Sétima Competência em Comparação com o Resultado Geral: O levantamento da KPMG mostra que, de uma forma geral, as gerências de operações não estão aproveitando os resultados do inventário de ativos de software de forma efetiva para gerenciar e dar suporte às suas funções. Competência 7 x Resultado Reral Avaliados Fonte: KPMG no Brasil, 2010. 60% 50% 40% 30% 20% 10% 0% Resultado Geral Básico Padronizado Racionalizado Dinâmico Integridade dos Registros e Interface das Gerências de Operações Nível de Maturidade Nível de Maturidade x Pc’s Bloqueados para Instalação de Softwares Não Autorizados Fonte: KPMG no Brasil, 2010. 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Não sei Não Sim Básico Padronizado Racionalizado Dinâmico Bloqueio de PC's: Aproximadamente 95% das organizações afirmaram que os PC's em seus ambientes estão bloqueados a fim de prevenir a instalação de softwares não autorizados. A KPMG acredita que tal comportamento evita que tais organizações fiquem expostas a riscos envolvendo a não-conformidade em licenças adquiridas. | 23 Porcentagem de Softwares Instalados através de Fontes Centralizadas ou em um Ambiente de Distribuição Controlado 10% 10% 1 - 67% 4% 15% 68 - 95% 96 - 99% 100% Minha organização não instala dentro de um ambiente controlado 37% Não sei 24% Fonte: KPMG no Brasil, 2010. Distribuição Centralizada de Software: Pouco mais de um quinto (21%) dos entrevistados disseram que 96-99% do software em seus ambientes de TI é instalado através de fontes centralizadas ou através de um ambiente de distribuição controlada. Pouco menos de um quinto (19%) disse que 100% dos softwares são implantados através de um ambiente de distribuição central. No entanto, cerca de 30% do total dos entrevistados relataram que menos de 68% dos softwares em suas organizações são instalados como parte de qualquer ambiente de distribuição controlada. Isto poderia levar a instalações que não podem ser monitoradas e apoiadas e é uma indicação de práticas de SAM desprovidas em maturidade. 8. Processo de Aquisição Qual a porcentagem aproximada do total de licenças de software compradas é realizada através de (ou é controlada e rastreada por) aquisição centralizada? Observações Oitava Competência em Comparação com o Resultado Geral: A distribuição das organizações com relação ao software para o controle de contratos está, de forma geral, em linha com a tendência global de maturidade. A experiência da KPMG tem indicado que incoerências entre os processos de aquisição e implantação de softwares são o principal motivo do surgimento de pontos de atenção quando novos ativos são adicionados ao ambiente operacional. A KPMG também notou que avarias, principalmente durante o processo de retirada, constituem um ponto comum entre as organizações. 24 | GERENCIAMENTO DE ATIVOS DE SOFTWARE Avaliados Competência 8 x Resultado Geral Fonte: KPMG no Brasil, 2010. 60% 50% 40% 30% 20% 10% 0% Resultado Geral Eficácia de Processo de Aquisição Básico Padronizado Racionalizado Dinâmico Nível de Maturidade Os processos de aquisição, implantação e retirada, gerenciam de que forma os ativos entram e saem do ambiente de TI. Os outros elementos mensurados neste modelo definem o quão efetivo é o processo de gerenciamento de ativos durante o tempo em que se encontram no ambiente de TI. Porcentagem de Total de Licenças de Software Comprada/Feitas através ou Controladas/Conhecidas/Rastreadas por Aquisição Centralizada 2% 7% 6% 1 - 67% 17% 68 - 95% 96 - 99% 100% Minha organização não possui uma função de aquisição centralizada 45% 23% Fonte: KPMG no Brasil, 2010. Não sei | 25 9. Processo de Desenvolvimento Qual a porcentagem do total de softwares implantados em PC's e servidores de sua organização (considerando todos os sistemas operacionais) que são instalados através de fontes centralizadas ou através de um ambiente de distribuição controlada? Observações Nona Competência em Comparação com o Resultado Geral: Individualmente, os processos de aquisição e implantação de componentes parecem consistentes ao serem comparados com as tendências gerais. No entanto, o risco que grande parte das empresas pode enfrentar é manter a interface adequada entre estes dois processos. Ao longo dos últimos anos, a KPMG tem observado que a causa da maior parte dos pontos de atenção inerentes à conformidade de licenças é a falta de conexão entre os administradores de TI que instalam softwares, o Departamento de Aquisições e os administradores de contratos legais que adquirem o software. As áreas de TI, Jurídico e Compras, podem implementar cada processo efetivamente por conta própria, no entanto pontos de atenção podem surgir no caso dessas áreas-chave para o SAM não possuírem processos bem estruturados e uma comunicação clara entre si. Avaliados Competência 9 x Resultado Geral Fonte: KPMG no Brasil, 2010. 60% 50% 40% 30% 20% 10% 0% Resultado Geral Eficácia do Processo Implementação Básico Padronizado Racionalizado Dinâmico Nível de Maturidade A KPMG observou que 60% dos entrevistados utilizam uma imagem ou clone para criar e manter uma imagem padrão de desktop em suas organizações. A porcentagem de organizações usando tal tecnologia está diretamente relacionada com o aumento de maturidade SAM desde o nível Básico até o nível Dinâmico, o que sugere que implementar uma solução tecnológica que ofereça um melhor controle sobre a padronização de imagens pode ter um impacto positivo na maturidade SAM geral de uma empresa. 26 | GERENCIAMENTO DE ATIVOS DE SOFTWARE Utilização de Imagem ou Clones de Discos Rígidos para Criação/Manutenção de Imagens Padrão nos Pc’s Fonte: KPMG no Brasil, 2010. 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Não sei Não Sim Básico Padronizado Racionalizado Dinâmico Quase 75% dos avaliados afirmaram que existe uma lista de software aprovados que não fazem parte da imagem padrão do desktop, mas que estão disponíveis mediante requisição específica. Este alto número sugere que a maior parte das organizações está bastante atenta aos tipos de software que são instalados no ambiente de PC's e possuem mecanismos de aprovação específica, de forma a garantir que a instalação de softwares fora do padrão seja limitada e controlada. No entanto, apenas isso não é suficiente para compor uma competência SAM consistente. Lista de Aplicativos Aprovados Disponíveis após a Requisição (Aplicativos Não Instalados como Parte da Imagem Padrão) Fonte: KPMG no Brasil, 2010. 80% 70% 60% 50% 40% 30% 20% 10% 0% Sim Não Não sei | 27 10. Processo de Retirada Qual a porcentagem de ativos de hardware não mais utilizados é controlada, de forma a permitir que os softwares que eles possuem sejam reutilizados? Observações Décima Competência em Comparação com o Resultado Geral: A KPMG notou que, comparados aos outros processos-chave do ciclo de vida de ativos de TI, o gerenciamento da retirada é comumente esquecido ou ignorado. Os dados da pesquisa revelam que o processo de retirada da maior parte das organizações situa-se no nível Básico, quando comparado com as tendências gerais. Organizações que possuem processos e procedimentos inerentes ao ciclo de vida do software, bem desenvolvidos, podem se beneficiar futuramente através da implantação de processos de retirada efetivos. Avaliados Competência 10 x Resultado Geral 60% 50% 40% 30% 20% 10% 0% Fonte: KPMG no Brasil, 2010. Resultado geral Eficácia do processo de retirada Básico Padronizado Racionalizado Dinâmico Nível de Maturidade Os benefícios de um processo de retirada incluem: - Otimização dos custos: por exemplo, reuso ou retirada de software de PC's não mais utilizados - Registros precisos: mantém inventários de hardware e software precisos; permite a reconciliação entre o razão financeiro de ativos fixos e o ambiente real de TI - Responsabilidade social: diversas empresas doam seus ativos de hardware e software antigos e ajudam a garantir a reciclagem “verde” - Gerenciamento de riscos e segurança: limpeza de discos rígidos e outras iniciativas que protejam informações confidenciais da organização e de seus clientes - Mitigação do risco de compliance de licença: por exemplo, se o conteúdo de PC's e servidores não for retirado de forma adequada, a companhia é requerida, de acordo com os direitos de uso do produto, a manter licenças para estes itens que não estão sendo utilizados. 28 | GERENCIAMENTO DE ATIVOS DE SOFTWARE Benchmark Pesquisa KPMG EUA 2008 No ano de 2008, a KPMG realizou esta pesquisa nos Estados Unidos e a seguir mostraremos algumas comparações dos indicadores apurados em nossa pesquisa no Brasil com relação aos resultados apurados naquele país. 1. Índice Geral de Maturidade SAM Índice de Maturidade Geral (%) 60% Fonte: KPMG International, 2008 e KPMG no Brasil, 2010. 59% 70% 50% 50% 34% EUA Brasil 27% 40% 30% 15% 13% 20% 1% 1% 10% Básico Padronizado Racionalizado Dinâmico Nível de Maturidade Este indicador de avaliação mostra o alinhamento do nível de maturidade SAM nas empresas dos dois países no momento de lançamento da pesquisa. Pequenas variações demonstradas nos níveis Básico, Padronizado e Racionalizado indicam uma ligeira 'vantagem' de classificação das empresas no enquadramento dentro das categorias na percepção de seus gestores no Brasil. | 29 2. Número de Pessoas Relacionadas ao Processo de SAM nas Empresas Fonte: KPMG International, 2008 e KPMG no Brasil, 2010. Outros 1% 2% Não sei 9% EUA Brasil 27% Sim, uma única pessoa que possui a responsabilidade por toda a organização 17% 41% 41% Sim, possuímos um time envolvido nesta atividade em nossa organização 29% 33% Não 0% 10% 20% 30% 40% 50% Os resultados demonstram porcentuais bem similares, neste quesito da pesquisa, na realidade observada na pesquisa norte-americana e a brasileira, indicando que em 41% das empresas pesquisadas existe um time específico destinado a lidar com a atividade nas organizações. 3. Nível de Prioridade para SAM na Organização Fonte: KPMG International, 2008 e KPMG no Brasil, 2010. Prioridade número 1 neste ano (2008) 1% 2% Não sei 9% 19% Não é uma prioridade agora 6% EUA Brasil 5% Minha própria iniciativa em gerenciar/a organização não pensa a respeito disso 3% 40% Importante mas a organização possui outras prioridades 52% 20% 21% Uma das 10 maiores prioridades para este ano 13% 9% Uma das 5 maiores prioridades para este ano 0% 20% 40% 60% 30 | GERENCIAMENTO DE ATIVOS DE SOFTWARE Os resultados indicam que no Brasil, 52% das empresas entendem o SAM como importante, porém apontam outras prioridades, enquanto nos Estados Unidos este percentual é de 42%. Entre as empresas que consideraram o SAM como uma das 10 maiores prioridades do ano para sua empresa, os resultados foram similares para ambos os países, com 20% para os EUA e 21% para o Brasil. Já entre as cinco maiores prioridades, houve um descolamento maior do porcentual com uma percepção maior da necessidade para as empresas norte-americanas com 13% e o Brasil com 9%. 4. Método de Controle das Licenças Instaladas Fonte: KPMG International, 2008 e KPMG no Brasil, 2010. 5% Não sei Outros 1% 13% 19% Solução integrada/ em tempo real usada para gerenciar os ativos de software EUA Brasil 17% Nós utilizamos uma solução adquirida de terceiros 23%% Procedimentos manuais 33% Nós não rastreamos os direitos de software de forma centralizada 46% 48% 18% 10% 0% 10% 20% 30% 40% 50% Neste quesito, em ambos os países, em consonância com o resultado geral da pesquisa, identificamos que apenas 13% das organizações nos EUA utilizam uma solução integrada em tempo real para gerenciar seus ativos de software. Com relação à utilização de procedimentos manuais para esta atividade, os dois países apresentam um elevado índice de empresas em tal condição, sendo 46% nos EUA e 48% no Brasil, indicando o potencial problema no registro e atualização de seus ativos de software e denotando um amplo espectro de possibilidades de melhoria neste indicador. Um último dado neste indicador demonstra que nos EUA, 18% das empresas não possuem rastreamento centralizado de direitos de software, sendo que no Brasil este índice cai para 10%. | 31 Como a KPMG Pode Ajudar A prática de Advisory da KPMG fornece uma grande variedade de serviços relacionados ao gerenciamento de ativos de software e compliance em licenças de software. A KPMG tem ajudado organizações globais (inclusive diversas referenciadas na Fortune 50) a resolver desafios e questões inerentes ao SAM, com maior foco na redução da exposição no que diz respeito à conformidade, à otimização de custos e ao alcance de uma maior maturidade geral no ambiente de TI. A KPMG possui mais de 140.000 profissionais em suas firmas-membros em 146 países, localizadas em cidades onde nossos clientes atuam. Esta proximidade implica que os profissionais da KPMG conhecem a legislação local e as práticas de negócio, possibilitando o fornecimento efetivo de serviços SAM, ajudando nossos clientes a otimizar seus custos e alcançar a conformidade em licenças, e recomendando as melhores práticas a fim de atingir um crescente nível de maturidade SAM. Contatos André Coutinho Sócio Tel.: (11) 2183-3179 [email protected] André Rangel Gerente Sênior Tel.: (21) 3515-9498 [email protected] kpmg.com.br Todas as informações apresentadas neste documento são de natureza genérica e não têm por finalidade abordar as circunstâncias de nenhum indivíduo específico ou entidade. Embora tenhamos nos empenhado em prestar informações precisas e atualizadas, não há nenhuma garantia de sua exatidão na data em que forem recebidas nem de que tal exatidão permanecerá no futuro. Essas informações não devem servir de base para se empreender qualquer ação sem orientação profissional qualificada, precedida de um exame minucioso da situação em pauta. KPMG e o logotipo da KPMG são marcas registradas da KPMG International Cooperative ("KPMG International"),uma entidade suíça. © 2010 KPMG Risk Advisory Services Ltda., uma sociedade simples brasileira, de responsabilidade limitada, e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative ("KPMG International"), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil . Design: Wake.up Comunicação.